Linux中防火墙(一)
一:前言
防火墻,其實(shí)說白了講,就是用于實(shí)現(xiàn)Linux下訪問控制的功能,它分為硬件的或者軟件的防火墻兩種。無論是在哪個網(wǎng)絡(luò)中,防火墻工作的地方一定是在網(wǎng)絡(luò)的邊緣。而我們的任務(wù)就是需要去定義到底防火墻如何工作,這就是防火墻的策略,規(guī)則,以達(dá)到讓它對出入網(wǎng)絡(luò)的IP、數(shù)據(jù)進(jìn)行檢測。
目前市面上比較常見的有3、4層的防火墻,叫網(wǎng)絡(luò)層的防火墻,還有7層的防火墻,其實(shí)是代理層的網(wǎng)關(guān)。
對于TCP/IP的七層模型來講,我們知道第三層是網(wǎng)絡(luò)層,三層的防火墻會在這層對源地址和目標(biāo)地址進(jìn)行檢測。但是對于七層的防火墻,不管你源端口或者目標(biāo)端口,源地址或者目標(biāo)地址是什么,都將對你所有的東西進(jìn)行檢查。所以,對于設(shè)計原理來講,七層防火墻更加安全,但是這卻帶來了效率更低的問題。所以市面上通常的防火墻方案,都是兩者結(jié)合的。而又由于我們都需要從防火墻所控制的這個口來訪問,所以防火墻的工作效率就成了用戶能夠訪問數(shù)據(jù)多少的一個最重要的控制,配置的不好甚至有可能成為流量的瓶頸。
二:iptables 的歷史以及工作原理
1.iptables的發(fā)展:
iptables的前身叫ipfirewall (內(nèi)核1.x時代),這是一個作者從freeBSD上移植過來的,能夠工作在內(nèi)核當(dāng)中的,對數(shù)據(jù)包進(jìn)行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規(guī)則都放進(jìn)內(nèi)核當(dāng)中,這樣規(guī)則才能夠運(yùn)行起來,而放進(jìn)內(nèi)核,這個做法一般是極其困難的)。當(dāng)內(nèi)核發(fā)展到2.x系列的時候,軟件更名為ipchains,它可以定義多條規(guī)則,將他們串起來,共同發(fā)揮作用,而現(xiàn)在,它叫做iptables,可以將規(guī)則組成一個列表,實(shí)現(xiàn)絕對詳細(xì)的訪問控制功能。
他們都是工作在用戶空間中,定義規(guī)則的工具,本身并不算是防火墻。它們定義的規(guī)則,可以讓在內(nèi)核空間當(dāng)中的netfilter來讀取,并且實(shí)現(xiàn)讓防火墻工作。而放入內(nèi)核的地方必須要是特定的位置,必須是tcp/ip的協(xié)議棧經(jīng)過的地方。而這個tcp/ip協(xié)議棧必須經(jīng)過的地方,可以實(shí)現(xiàn)讀取規(guī)則的地方就叫做 netfilter(網(wǎng)絡(luò)過濾器)。
作者一共在內(nèi)核空間中選擇了5個位置:
1.內(nèi)核空間中:從一個網(wǎng)絡(luò)接口進(jìn)來,到另一個網(wǎng)絡(luò)接口去的
2.數(shù)據(jù)包從內(nèi)核流入用戶空間的
3.數(shù)據(jù)包從用戶空間流出的
4.進(jìn)入/離開本機(jī)的外網(wǎng)接口
5.進(jìn)入/離開本機(jī)的內(nèi)網(wǎng)接口
2.iptables的工作機(jī)制
從上面的發(fā)展我們知道了作者選擇了5個位置,來作為控制的地方,但是你有沒有發(fā)現(xiàn),其實(shí)前三個位置已經(jīng)基本上能將路徑徹底封鎖了,但是為什么已經(jīng)在進(jìn)出的口設(shè)置了關(guān)卡之后還要在內(nèi)部卡呢? 由于數(shù)據(jù)包尚未進(jìn)行路由決策,還不知道數(shù)據(jù)要走向哪里,所以在進(jìn)出口是沒辦法實(shí)現(xiàn)數(shù)據(jù)過濾的。所以要在內(nèi)核空間里設(shè)置轉(zhuǎn)發(fā)的關(guān)卡,進(jìn)入用戶空間的關(guān)卡,從用戶空間出去的關(guān)卡。那么,既然他們沒什么用,那我們?yōu)槭裁催€要放置他們呢?因?yàn)槲覀冊谧鯪AT和DNAT的時候,目標(biāo)地址轉(zhuǎn)換必須在路由之前轉(zhuǎn)換。所以我們必須在外網(wǎng)而后內(nèi)網(wǎng)的接口處進(jìn)行設(shè)置關(guān)卡。
這五個位置也被稱為五個鉤子函數(shù)(hook functions),也叫五個規(guī)則鏈。
1.PREROUTING (路由前)
2.INPUT (數(shù)據(jù)包流入口)
3.FORWARD (轉(zhuǎn)發(fā)關(guān)卡)
4.OUTPUT(數(shù)據(jù)包出口)
5.POSTROUTING(路由后)
這是NetFilter規(guī)定的五個規(guī)則鏈,任何一個數(shù)據(jù)包,只要經(jīng)過本機(jī),必將經(jīng)過這五個鏈中的其中一個鏈。
3.防火墻的策略
防火墻策略一般分為兩種,一種叫“通”策略,一種叫“堵”策略,通策略,默認(rèn)門是關(guān)著的,必須要定義誰能進(jìn)。堵策略則是,大門是通開的,但是你必須有身份認(rèn)證,否則不能進(jìn)。所以我們要定義,讓進(jìn)來的進(jìn)來,讓出去的出去,所以通,是要全通,而堵,則是要選擇。當(dāng)我們定義策略的時候,要分別定義多條功能,其中:定義數(shù)據(jù)包中允許或者不允許的策略,filter過濾的功能,而定義地址轉(zhuǎn)換的功能的則是nat選項(xiàng)。為了讓這些功能交替工作,我們制定出了“表”這個定義,來定義、區(qū)分各種不同的工作功能和處理方式。
我們現(xiàn)在用的比較多個功能有3個:
1.filter?定義允許或者不允許的,過濾規(guī)則表
2.nat?定義地址轉(zhuǎn)換的
3.mangle功能:修改報文原數(shù)據(jù)表,打標(biāo)簽
我們修改報文原數(shù)據(jù)就是來修改TTL的。能夠?qū)崿F(xiàn)將數(shù)據(jù)包的元數(shù)據(jù)拆開,在里面做標(biāo)記或修改內(nèi)容的。而防火墻標(biāo)記,其實(shí)就是靠mangle來實(shí)現(xiàn)的。
小擴(kuò)展:
對于filter來講一般只能作用在3個鏈上:INPUT ,FORWARD ,OUTPUT
對于nat來講一般也只能作用在3個鏈上:PREROUTING ,OUTPUT ,POSTROUTING
而mangle則是5個鏈都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
iptables/netfilter(這款軟件)是工作在用戶空間的,它可以讓規(guī)則進(jìn)行生效的,本身不是一種服務(wù),而且規(guī)則是立即生效的。而我們iptables現(xiàn)在被做成了一個服務(wù),可以進(jìn)行啟動,停止的。啟動,則將規(guī)則直接生效,停止,則將規(guī)則撤銷。
iptables還支持自己定義鏈。但是自己定義的鏈,必須是跟某種特定的鏈關(guān)聯(lián)起來的。在一個關(guān)卡設(shè)定,指定當(dāng)有數(shù)據(jù)的時候?qū)iT去找某個特定的鏈來處理,當(dāng)那個鏈處理完之后,再返回。接著在特定的鏈中繼續(xù)檢查。
注意:規(guī)則的次序非常關(guān)鍵,誰的規(guī)則越嚴(yán)格,應(yīng)該放的越靠前,而檢查規(guī)則的時候,是按照從上往下的方式進(jìn)行檢查的。
三.規(guī)則的寫法:
iptables定義規(guī)則的方式比較復(fù)雜:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3個filter nat mangle
COMMAND:定義如何對規(guī)則進(jìn)行管理
chain:指定你接下來的規(guī)則到底是在哪個鏈上操作的,當(dāng)定義策略的時候,是可以省略的
CRETIRIA:指定匹配標(biāo)準(zhǔn)
-j ACTION :指定如何進(jìn)行處理
比如:不允許172.17.0.0/16的進(jìn)行訪問。
iptables -t filter -A INPUT -s 172.17.0.0/16 -p udp --dport 53 -j DROP
當(dāng)然你如果想拒絕的更徹底:
iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT? ?#替換第一條
iptables -L -n -v#查看定義規(guī)則的詳細(xì)信息
四:詳解COMMAND:
1.鏈管理命令(這都是立即生效的)
-P :設(shè)置默認(rèn)策略的(設(shè)定默認(rèn)門是關(guān)著的還是開著的)
默認(rèn)策略一般只有兩種
iptables -P INPUT (DROP|ACCEPT)? 默認(rèn)是關(guān)的或默認(rèn)是開的
比如:
iptables -P INPUT DROP 這就把默認(rèn)規(guī)則給拒絕了。并且沒有定義哪個動作,所以關(guān)于外界連接的所有規(guī)則包括Xshell連接之類的,遠(yuǎn)程連接都被拒絕了。
-F: FLASH,清空規(guī)則鏈的(注意每個鏈的管理權(quán)限)
iptables -t nat -F PREROUTING
iptables -t nat -F 清空nat表的所有鏈
-N:NEW 支持用戶新建一個鏈
例:iptables -N deny 創(chuàng)建新鏈
iptables -A deny -p tcp --dport 22 -j REJECT
iptables -A deny -p tcp icmp? -j REJECT
iptables -A INPUT -s 192.168.159.0/24 -j deny? #從192.168.159.0網(wǎng)段的來的包不能訪問ssh,ping
-X: 用于刪除用戶自定義的空鏈
使用方法跟-N相同,但是在刪除之前必須要將里面的鏈給清空
例:iptables -F deny #清除deny鏈里東西
iptables -F? INPUT #清除input中的訪問
iptables -X deny #刪除鏈
-E:主要是用來給用戶自定義的鏈重命名,引用計數(shù)不為0的自定義鏈不能夠被重命名,也不能被刪除
-E oldname newname
-Z:清空鏈,及鏈中默認(rèn)規(guī)則的計數(shù)器的(有兩個計數(shù)器,被匹配到多少個數(shù)據(jù)包,多少個字節(jié))
iptables -Z :清空
2.規(guī)則管理命令
-A:追加,在當(dāng)前鏈的最后新增一個規(guī)則
-I num : 插入,把當(dāng)前規(guī)則插入為第幾條。
-I 3 :插入作為為第三條
-R num:Replays替換/修改第幾條規(guī)則
格式:iptables -R 3 …………
-D num:刪除,明確指定刪除第幾條規(guī)則
3.查看管理命令?
?-L:list, 列出指定鏈上的所有規(guī)則,本選項(xiàng)須置后
-n:以數(shù)字的方式顯示ip,它會將ip直接顯示出來,如果不加-n,則會將ip反向解析成主機(jī)名。
-v:顯示詳細(xì)信息
-vv:更詳細(xì)
-vvv :越多越詳細(xì)
-x:在計數(shù)器上顯示精確值,不做單位換算
--line-numbers : 顯示規(guī)則的行號
-t nat:顯示所有的關(guān)卡的信息
五:詳解-j ACTION
常用的ACTION:
DROP:悄悄丟棄
一般我們多用DROP來隱藏我們的身份,以及隱藏我們的鏈表
REJECT:明示拒絕
ACCEPT:接受
custom_chain:轉(zhuǎn)向一個自定義的鏈
DNAT:請求報文替換目標(biāo)地址(外網(wǎng)訪問公司內(nèi)網(wǎng))
例:iptables -t nat -A PREROUTING? -d 172.18.100.6 -p tcp --dport 80 -j DNAT --todestination 10.0.1.22:8080? ?#訪問時會跳轉(zhuǎn)到另一主機(jī)的8080端口
SNAT:源地址轉(zhuǎn)換(內(nèi)網(wǎng)訪問外網(wǎng))
例:iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24? -j SNAT --to-source 172.18.100.6-172.18.100.9
MASQUERADE:源地址偽裝
REDIRECT:重定向:主要用于實(shí)現(xiàn)端口重定向,即轉(zhuǎn)發(fā)
MARK:打防火墻標(biāo)記的
RETURN:返回
在自定義鏈執(zhí)行完畢后使用返回,來返回原規(guī)則鏈。
本文轉(zhuǎn)自 優(yōu)果馥思 51CTO博客,原文鏈接:http://blog.51cto.com/youguofusi/1978314
總結(jié)
以上是生活随笔為你收集整理的Linux中防火墙(一)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Windows Mysql添加用户
- 下一篇: weblogic管理2 - 创建并启动一